Rapport Vectra sur le comportement des cyberattaquants : Les accès aux comptes à privilèges de plus en plus nombreux, mettent les entreprises en grand danger

Paris, le 3 mars 2020 - Vectra AI, spécialiste de la détection et de la réponse aux menaces sur les réseaux (Network Detection Response), met en lumière, dans son nouveau Rapport sur le comportement des cyberattaquants (Rapport Spotlight), l’une des principales lacunes de sécurité observées dans un grand nombre d’entreprises : les comptes à privilèges (et services) compromis.

Chris Morales, Responsable des analyses de sécurité chez Vectra explique que ce rapport apporte une preuve supplémentaire « que les approches traditionnelles basées sur l'accès, qui reposent sur des décisions de sécurité ponctuelles ou des listes prédéfinies d'identités privilégiées, continuent d'échouer » et « que ce problème devrait enfin être traité sérieusement par les entreprises ».

Le nouveau Rapport Spotlight de Vectra - présenté notamment à l’occasion de la célèbre RSA Conférence de San Francisco - aborde la question sensible des accès à privilèges, fournissant une analyse pointue des comportements actifs et persistants des attaquants, à partir de plus de cinq millions de charges de travail et d'appareils dans le Cloud, les Datacenter et environnements d’entreprise (NB : 49% des données analysées concernent des organisations actives sur la zone EMEA).

Les principales conclusions du rapport : ‍

• ‍74% des détections de comportements anormaux liés à des accès à privilèges sont des accès depuis des hôtes inconnus, potentiellement malveillants : Il s’agit du comportement le plus fréquemment observé par Vectra et une technique d’attaque qui a été utilisée lors du vol des données de 106 millions de clients de la banque Capital One, consécutif à un accès non autorisé au réseau de la banque par un individu extérieur.
• Les organismes de finance et d'assurance, de santé et d'éducation ont présenté le plus grand nombre de comportements anormaux d'accès privilégiés. Ces trois secteurs représentent ensemble près de la moitié (47 %) de toutes les détections de comportement anormaux d'accès privilégiés observées.
• Dans l'ensemble des secteurs, 215 détections de comportement d'attaquant pour 10 000 hôtes ont été observées. Un chiffre toutefois en baisse par rapport aux 282 comportements d'attaquants pour 10 000 hôtes enregistrés au cours du premier semestre 2019.‍
• Les secteurs de la technologie (138 détections pour 10 000) et de l'éducation (102 détections pour 10 000) restent les secteurs où les comportements de commande et de contrôle sont les plus fréquents, soit près de trois fois plus que la moyenne des autres secteurs.‍
• Les petites entreprises (0 à 5 000 employés) sont plus exposées aux attaques par mouvements latéraux. Les petites entreprises ont observé 112 comportements de mouvement latéral pour 10 000 hôtes, soit près de deux fois plus que les moyennes et grandes entreprises.

Le rapport souligne notamment l'importance de l'accès privilégié comme élément clé du mouvement latéral dans les cyberattaques. Les adversaires exploitent les comptes à privilèges pour obtenir un accès non autorisé aux actifs les plus critiques d’une organisation. Cela souligne l'importance d'une surveillance continue des comptes d'utilisateurs, des services et des hôtes une fois qu'ils ont accès au réseau, afin que les équipes de sécurité disposent des bonnes informations pour prendre rapidement des mesures contre l'utilisation malveillante des privilèges dans les environnements cloud et hybrides.

Chris Morales conclut : « Les observations de ce rapport renforcent l'importance de la visibilité sur les accès à privilèges et des autres comportements des attaquants. La combinaison des sources de données dans le Cloud avec les données du réseau peut rassembler une puissante combinaison d'informations qui augmente la probabilité de détecter et de prioriser les activités post-compromission avant qu'une brèche aux conséquences catastrophiques ne se produise ».